Авторизация в Консоли управления по протоколу LDAPS без Active Directory

Данный раздел описывает работу Консоли управления Docsvision с каталогом ALD Pro без привязки к конкретной службе каталогов Active Directory. Настройка работы Сервера приложений описана в руководстве по настройке системы, см. "Коннектор к каталогу ALD Pro". Администратор самостоятельно может настроить получение данных по доменным учётным записям, включая системные УЗ из каталога ALD Pro.

  • При использовании прозрачной аутентификации необходимо настроить домен так, чтобы он возвращал ожидаемый формат.

  • Для работы коннектора авторизации ALD Pro не требуется дополнительных опций лицензии.

  • Авторизация с помощью ALD Pro поддерживается в Docsvision при установке модуля Консоль управления Docsvision 6.1 сборки 170 и выше.

  • Если база данных была создана, но не использовалась, перед использованием коннектора необходимо завести как минимум одного сотрудника в справочнике сотрудников и авторизоваться под ним в Web-клиенте.

  • При использовании конфигурации с несколькими контроллерами, объединенными через балансировщик нагрузки, необходимо использовать сертификат с указанием домена в формате *.domain.com. Альтернативный вариант — в конфигурационном файле сервиса указать адрес балансировщика в параметре LdapServerAddresses.

Коннектор к ALD Pro

ALD Pro является альтернативной службой каталогов с групповыми политиками, предназначенной для управления устройствами в сети. ALD Pro работает по протоколу LDAPS.

Для аутентификации при использовании коннектора к ALD Pro необходимо указывать учётные данные пользователя в формате UID: user@domain в том числе и в справочнике сотрудников, см. подробнее в документации Windows-клиента и Web-клиента.

 
{
  "Authentication": {
    "Connectors": [
      {
        "Name": "ALDPro", (1)
        "Type": "DocsVision.Auth.Extensions.ALDProConnector, DocsVision.Auth.Extensions, Version=6.0.0.0, Culture=neutral, PublicKeyToken=7148afe997f90519", (2)
        "Settings": "<?xml version=\"1.0\" encoding=\"utf-16\"?><LdapConnectorOptions><LdapServerAddresses><string>XXX.XXX.XXX.XXX</string></LdapServerAddresses><Port>389</Port><EnableLDAPS>true</EnableLDAPS><FullyQualifiedDnsHostName>false</FullyQualifiedDnsHostName><Credential><UserName>user@example.com</UserName><Password>Password</Password></Credential></LdapConnectorOptions>", (3)
        "Id": "{DCF3EDA3-2F84-4FD1-8E1D-A06B762AE822}" (4)
		  }
    ]
  }
}
1 Name — задаёт название коннектора.
2 Type — строка с именем типа, реализующего коннектор.
3 Settings — строка настроек коннектора к ALD Pro. Подробнее см. ниже.
4 ID — строка с идентификатором коннектора в виде Guid.

Строка настроек ALD Pro

В примере ниже строка настроек приведена в отформатированном виде для удобства чтения. Данный фрагмент кода не предназначен для копирования в конфигурационный файл.

<?xml version="1.0" encoding="utf-16"?>
<LdapConnectorOptions>
	<LdapServerAddresses> (1)
		<string>XXX.XXX.XXX.XXX</string>
	</LdapServerAddresses>
	<Port>389</Port> (2)
    <EnableLDAPS>true</EnableLDAPS> (3)
	<FullyQualifiedDnsHostName>false</FullyQualifiedDnsHostName> (4)
	<BaseDN>dc=example,dc=com</BaseDN> (5)
	<Credential>
		<UserName>admin@example.com</UserName> (6)
		<Password>Password</Password> (7)
	</Credential>
</LdapConnectorOptions>
1 LdapServerAddresses — IP-адреса серверов LDAP (XXX.XXX.XXX.XXX).
2 Port — порт подключения к LDAP каталогам, перечисленным в LdapServerAddresses.
3 EnableLDAPS — флаг активации использования протокола LDAPS.
4 FullyQualifiedDnsHostName — укажите true, чтобы указывать полное имя домена и учётной записи после @, например user@example.com. Каждый элемент в списке серверов (LdapServerAddresses) должен будет представлять полное DNS-имя хоста. При указании false элемент может быть IP-адресом, DNS-доменом или именем хоста.
5 BaseDN — обязательная настройка, корневая точка LDAP-дерева, с которой начинаются поисковые запросы. Где: dc=example — доменный компонент, dc=com — верхний уровень домена.
6 UserName — имя пользователя.
7 Password — пароль.
Особенности и рекомендации при работе с ALD Pro:

  • ALD Pro не поддерживает пробелы и заглавные буквы в именах пользователей и групп, а также имеет прочие ограничения наименования.
    В связи с этим только для данного коннектора допускается использовать следующий аналог группы Docsvision Management Console Administrators: docsvision_management_console_administrators

  • Особенности доступа. Всегда обязательно нужно указывать верные DistinguishedName. Это часть dc=example,dc=com. В данном случае домен example.com. Если он будет, например domain.example.com, то вид изменится: dc=domain,dc=example,dc=com.
    Эта настройка указывается в опциях в поле BaseDN.

Дополнительные настройки

Если планируется авторизоваться под учётной записью из каталога ALD Pro по протоколу LDAP, данный раздел можно проигнорировать. При использовании протокола LDAPS выполненные настройки будут автоматически приведены в действие только если машины с сервером Docsvision и клиентскими приложениями будут введены в домен ALD Pro, указанный в настройках. Иначе потребуются дополнительные настройки, описанные ниже.

  1. Выполните команду:

    $ sudo nano /usr/share/ca-certificates/example.crt

  2. Скопируйте сертификат удостоверяющего центра домена в полученный файл и сохраните его.

  3. Выполните команду:

    $ sudo dpkg-reconfigure ca-certificates

  4. В диалоговом окне конфигурации сертификатов выберите "Да", чтобы доверять новым сертификатам.

  5. В следующем окне найдите строчку "example", выберите её и примените выбор.

    На экран будет выведено сообщение об успешном добавлении нового сертификата.

  6. Выполните команду

    $ sudo nano /etc/hosts

    Добавьте в файл строку XXX.XXX.XXX.XXX dc1.example.com example.com, где XXX.XXX.XXX.XXX — IP.

  7. В настройках коннектора адрес сервера укажите в виде: dc1.example.com. При указании IP авторизация работать не будет. Порт 636 указывать необязательно.

  8. На машине с клиентскими компонентами нужно создать аналогичный сертификат и добавить его в доверенные.

  9. После выполнения описанных настроек авторизация должна выполняться успешно без введения в домен машин с сервером Docsvision и клиентскими приложениями.